Vulnerabilidad en la jerarquía de carpetas "node_modules" para la interfaz de línea de comandos de npm en "@npmcli/arborist" (CVE-2021-39134)

"@npmcli/arborist", la librería que calcula los trees de dependencia y maneja la jerarquía de carpetas "node_modules" para la interfaz de línea de comandos de npm, presenta como objetivo garantizar que los contratos de dependencia de los paquetes se cumplan, y que la extracción de los contenidos de los paquetes sea llevada a cabo siempre en la carpeta esperada. Esto es conseguido, en parte, al resolver los especificadores de dependencia definidos en los manifiestos "package.json" para las dependencias con un nombre específico, y anidando las carpetas para resolver las dependencias conflictivas. Cuando las dependencias múltiples difieren sólo en el caso de su nombre, la estructura de datos interna de Arborist las veía como elementos separados que podían coexistir dentro del mismo nivel en la jerarquía "node_modules". Sin embargo, en los sistemas de archivos que no distinguen entre mayúsculas y minúsculas (como macOS y Windows), esto no es así. Combinado con una dependencia de symlink como "file:/some/path", esto permitía a un atacante crear una situación en la que se podían escribir contenidos arbitrarios en cualquier ubicación del sistema de archivos. Por ejemplo, un paquete "pwn-a" podría definir una dependencia en su archivo "package.json" como ""foo": "file:/some/path"". Otro paquete, "pwn-b" podría definir una dependencia como "FOO: "file:foo.tgz"". En los sistemas de archivos que no distinguen entre mayúsculas y minúsculas, si se instalara "pwn-a" y luego se instalara "pwn-b", el contenido de "foo.tgz" se escribiría en "/some/path", y cualquier contenido existente de "/some/path" se eliminaría. Cualquiera usando npm versiones v7.20.6 o anteriores en un sistema de archivos que no distinga entre mayúsculas y minúsculas está potencialmente afectado. Esto está parcheado en @npmcli/arborist 2.8.2 que se incluye en npm versiones v7.20.7 y superiores